La saga di Star Wars, per lo meno gli episodi IV-VI, è un esempio da manuale di come NON trattare una violazione dei dati. Per dirla con un eufemismo, l’Impero è tristemente inconsapevole di come funzioni la sicurezza dei dati, con la conseguente malgestione delle violazioni.
Fake News: come tutti sappiamo, dati altamente riservati e importanti non erano al sicuro sulla Morte Nera. In effetti, nella saga la sicurezza fallisce in così tanti modi che è difficile sceglierne uno senza toccare altre aree. Pertanto, abbiamo selezionato solo alcuni aspetti che l’Impero avrebbe dovuto gestire in modo diverso.
Sparare sul messaggero è una cattiva abitudine, foriera di tonnellate di carteggi e conversazioni spiacevoli se presa troppo alla lettera (al di fuori dell’universo del grande schermo s’intende). Potresti anche trovarti nella situazione del messaggero che deve riferire al CEO che il negozio online è fuori uso perché il sito è stato proiettato alla settimana successiva da un attacco DDoS. Oppure potresti essere a conoscenza del fatto che qualcuno è riuscito a rubare informazioni altamente riservate sulla tua nuova sede. Sai che non è colpa tua perché i fondi per le misure di sicurezza non sono stati approvati, non sono stati assunti i tre collaboratori che ti erano stati promessi per rimettere a nuovo la piattaforma dello shop né sono state rinnovate le licenze per la soluzione antivirus, sebbene il rinnovo sia scaduto da quattro settimane. Eppure, stai lì, davanti al tuo capo, e ti viene detto che la colpa è “tua”.
Ascolta ciò che le persone ti dicono e non presumere automaticamente che siano in errore. I buoni messaggeri non sono facili da trovare, quindi non sparargli per un capriccio, anche se non ti piacciono le notizie che ti portano. In questo senso il comportamento di Kylo Ren è accettabile: si è limitato a distruggere i mobili dell’ufficio lasciando in vita l’ufficiale che lo ha informato della fuga del suo prigioniero. Agli ufficiali che hanno prestato servizio sotto il suo vessillo è andata molto peggio – porta cattive notizie e morirai inevitabilmente, anche se lo fai via Skype. E il tipo accanto a te, che già ora sembra particolarmente a disagio, ottiene il tuo lavoro, mentre tu – o piuttosto il tuo cadavere – vieni trascinato fuori.
Assicurati che le tue truppe abbiano fiducia e nessun motivo di temere di essere fucilate al primo segno di fallimento. Con ogni probabilità, la persona che ti informa di un incidente non è il responsabile. Dovrebbero anche sapere che ci si fida di loro.
Se qualcosa non funziona, non funziona, e dovrebbe essere rimosso. Non dovrebbe rientrare nei tuoi piani, a meno che non cerchi qualcosa di cui preoccuparti. Per tornare al contesto: il cattivo ha rapito la principessa, per farne una moglie/schiava. Con sua grande costernazione, a lei l’idea di questa relazione non piace per niente e lotta con le unghie e con i denti per scappare. Prova ad abbracciare un cactus e capirai quanto un rapporto di questo genere può essere spiacevole. La scelta migliore sarebbe lasciarla andare. La scelta non propriamente intelligente del cattivo è quella di non rinunciare in nessun caso al suo trofeo, che mette in catene e obbliga a sottomettersi alla sua volontà. Una catena che gli si può arrotolare intorno al collo, se non fa attenzione.
Ecco otto consigli su come diventare un miglior Signore Oscuro:
- Non vantarti, non gongolare. È chiaro che le difese che hai pianificato e le misure che vuoi adottare sono perfette. Ciò però non significa che tutti (soprattutto i tuoi avversari) debbano saperlo.
- Coinvolgi altre persone nei tuoi piani. Se pianifichi tutto da solo puoi dimenticare qualcosa. Chiedere l’opinione altrui non è un segno di debolezza o incompetenza, al contrario.
- Testa e verifica la sicurezza regolarmente. Se necessario migliorala. I tuoi sistemi potranno resistere ad un’inondazione, un uragano o un terremoto di magnitudo 9, ma se un intruso incontrastato può disattivare la tua fonte di energia azionando due interruttori, hai un problema.
- Non sparare sul messaggero. Se tutti hanno paura di dirti che qualcosa non va, allora c’è una grande possibilità che le informazioni che vengono condivise con te siano “filtrate” e incomplete. Quando finalmente otterrai il quadro completo potresti trovarti di fronte a un disastro irreparabile, a cui 5 persone diverse hanno già messo mano.
- Non portare un coltello ad un duello con le pistole. Se disponi di strumenti che assicurano di tutelarti contro elementi che minacciano la realizzazione dei tuoi piani, usali. Quando si tratta di difendersi, è meglio iniziare alla grande piuttosto che passare al setaccio un arsenale di strumenti più piccoli e sprecare un sacco di tempo (e denaro) in questo processo. Se Indiana Jones ci ha insegnato qualcosa, allora è questo: se un avversario sta brandendo una sciabola davanti alla tua faccia ma tu hai una pistola, non fare lo sportivo. Falla finita in fretta.
- Se qualcosa non funziona come previsto, sbarazzatene. Un’applicazione o un dispositivo che non funziona come dovrebbe, dovrebbe essere analizzato approfonditamente per verificare se è possibile correggere i problemi senza compromettere la missione. Voler mantenere in essere a tutti i costi una parte di infrastruttura per motivi sentimentali, per essere conformi alle normative o per ragioni politiche, prima o poi la renderà una falla anziché una risorsa. Se scopri che la componente non è più affidabile, adoperati per sostituirla, ma preparati a combattere una dura battaglia.
- La sicurezza fisica ha la stessa importanza della protezione dei tuoi dati. Gli apparecchi e le applicazioni più originali non contano nulla, se chiunque può accedere ai tuoi server e tirare fuori i dischi che contengono i dati sui tuoi piani segreti. O se un qualunque droide può loggarsi sul sistema, collegarsi ad una qualsiasi porta dati accessibile pubblicamente e sottrarre tutte le informazioni da qualsiasi sistema desideri. E non abbiamo nemmeno parlato della crittografia.
- La tecnologia non è una panacea. Non importa quanto tu sia orgoglioso del terrore tecnologico che hai costruito: la tecnologia è potenzialmente un’arma a doppio taglio. Puoi risolvere un problema ma inavvertitamente crearne un altro. Mentre la tecnologia può essere di grande valore per la sicurezza, non dovrebbe (e non può) sostituire tutto.
Sii conscio del fatto che la comune credenza che un budget più elevato sia garante di una maggiore sicurezza non trova fondamento nella realtà. Gettare soldi su un problema di rado lo risolve – nella maggior parte dei casi procrastina semplicemente il momento in cui si ripresenterà, per perseguitarti da una direzione che nessuno avrebbe immaginato.
E comunque, alla fine della fiera, sono sempre coinvolti degli umani. Se l’utente decide che sia sicuro bypassare una determinata funzione di sicurezza perchè non è consapevole del pericolo e determinato ad aprire quel portello, nonostante il Wookie iracondo che c’è dietro, allora un buon training è davvero l’unica cosa che può aiutarti a raggiungere i tuoi obiettivi.